De AVG stelt geen specifieke regels voor AI als zodanig, maar de algemene principes zijn van volledige toepassing. Doelbinding: je mag persoonsgegevens alleen gebruiken voor het doel waarvoor ze zijn verzameld. Dataminimalisatie: gebruik niet meer gegevens dan strikt noodzakelijk. Opslagbeperking: bewaar gegevens niet langer dan nodig. Integriteit en vertrouwelijkheid: bescherm de gegevens adequaat.

Als jouw AI-systeem persoonsgegevens verwerkt, moeten al die principes zijn nageleefd. Dat begint al bij het trainen van het model, niet pas bij de uitrol.

Een specifiek artikel in de AVG, artikel 22, is bijzonder relevant voor AI: het recht op niet-onderworpen zijn aan geautomatiseerde individuele besluitvorming die rechtsgevolgen heeft of de betrokkene anderszins in aanmerkelijke mate treft.

Concreet betekent dit dat je mensen niet volledig automatisch mag afwijzen of beoordelen zonder menselijke tussenkomst als die beslissing significante gevolgen heeft. Denk aan het afwijzen van een kredietaanvraag, het screenen van sollicitanten of het bepalen van een verzekeringspremie puur op basis van algoritmes.

Als jouw AI-systeem dit soort beslissingen neemt, heb je een wettelijke grondslag nodig, moet je de betrokkene informeren en moet er een mogelijkheid zijn voor menselijke tussenkomst en bezwaar.

Elk gebruik van persoonsgegevens vereist een wettelijke grondslag. De meest gangbare grondslagen voor AI-toepassingen zijn toestemming van de betrokkene, noodzakelijkheid voor de uitvoering van een overeenkomst en gerechtvaardigd belang van de verwerkingsverantwoordelijke.

Toestemming lijkt eenvoudig maar is in de praktijk strikt: het moet vrijwillig, specifiek, geïnformeerd en ondubbelzinnig zijn. Vooraf aangevinkte vakjes tellen niet mee. Gerechtvaardigd belang vereist een afweging waarbij jouw belang opweegt tegen de belangen van de betrokkene.

De AVG kent extra bescherming voor bijzondere categorieën persoonsgegevens: gezondheidsgegevens, biometrische gegevens, gegevens over ras of etnische afkomst, politieke opvattingen, seksuele gerichtheid en andere gevoelige categorieën. Verwerking hiervan is in principe verboden, tenzij er een specifieke uitzondering van toepassing is.

AI-systemen die werken met gezichtsherkenning, stemanalyse of medische dossiers verwerken vrijwel altijd bijzondere categorieën. De lat voor naleving ligt hier aanzienlijk hoger.

Naast de AVG treedt de Europese AI Act gefaseerd in werking. Deze wetgeving introduceert risicocategorieën voor AI-systemen en stelt aanvullende eisen, met name voor hoog-risico toepassingen als AI in sollicitatieprocedures, kredietbeoordeling, onderwijs en kritieke infrastructuur.

Organisaties die nu AI-systemen bouwen, doen er verstandig aan rekening te houden met de AI Act, ook al zijn niet alle vereisten al van kracht. Aanpassingen achteraf zijn kostbaarder dan goed ontwerpen van het begin af aan.

Voer een DPIA (Data Protection Impact Assessment) uit voor AI-systemen die risico's voor betrokkenen kunnen opleveren. Dat is wettelijk verplicht bij hoog-risico verwerkingen en verstandig bij vrijwel alle AI-toepassingen met persoonsgegevens.

Stel een verwerkingsregister op dat ook AI-toepassingen omvat. Zorg voor een verwerkersovereenkomst met elke leverancier die persoonsgegevens verwerkt namens jou, inclusief aanbieders van AI-modellen en platforms.

Niet elke AI-toepassing is problematisch vanuit privacyperspectief. AI die werkt met geanonimiseerde of synthetische data, AI die interne processen optimaliseert zonder persoonsgegevens te verwerken en AI die content genereert op basis van bedrijfsdocumenten zonder persoonsinformatie, vallen buiten het bereik van de AVG.

Mach8 helpt organisaties bij het ontwerpen van AI-toepassingen die privacyconform zijn van het begin af aan, niet als noodoplossing achteraf.

AI en privacy zijn goed te combineren, maar het vereist bewuste keuzes en een grondige kennis van de AVG. Wie dat goed aanpakt, kan AI veilig en verantwoord inzetten zonder onnodige juridische risico's.

Wil je weten hoe Mach8 jou helpt bij privacyconform AI-gebruik? Neem contact op of bekijk onze AI agents dienst.